Política de Privacidad

1. Introducción

Mindex ("nosotros", "nuestro") opera la plataforma Mindex (usemindex.dev), un servicio de base de conocimiento impulsado por inteligencia artificial. Mindex tiene su sede en Brasil.

Esta Política de Privacidad explica cómo recopilamos, utilizamos, almacenamos, compartimos y protegemos sus datos personales en cumplimiento de la Ley General de Protección de Datos brasileña (LGPD — Lei 13.709/2018) y del Reglamento General de Protección de Datos europeo (GDPR — Regulation (EU) 2016/679).

Al acceder o utilizar la plataforma Mindex, usted reconoce que ha leído, comprendido y acepta quedar vinculado por esta Política de Privacidad. Si no está de acuerdo con esta política, no debe utilizar el servicio.

2. Datos que Recopilamos

Recopilamos las siguientes categorías de datos personales:

Datos de cuenta: dirección de correo electrónico, hash de la contraseña (bcrypt), información del proveedor de autenticación (si inicia sesión mediante OAuth con Google o GitHub), nombre para mostrar y fecha de creación de la cuenta.
Datos de contenido: documentos que usted carga en la plataforma, incluido el texto, los metadatos, los nombres de archivo y cualesquiera datos derivados del procesamiento de esos documentos (como embeddings, etiquetas y relaciones del grafo).
Datos de uso: registros de solicitudes a la API, patrones de uso de funcionalidades, marcas de tiempo, direcciones IP, frecuencia de solicitudes y registros de errores.
Datos técnicos: tipo y versión del navegador, información del dispositivo, sistema operativo, datos de sesión y cookies necesarios para la autenticación y el funcionamiento del servicio.

3. Cómo Utilizamos sus Datos

Tratamos sus datos personales con las siguientes finalidades:

Provisión y mantenimiento del servicio: para proveer, operar, mantener y mejorar la plataforma Mindex.
Procesamiento de documentos: para procesar e indexar sus documentos, incluyendo chunking, generación de embeddings, construcción del grafo de conocimiento e indexación semántica.
Enriquecimiento por IA: etiquetado automático, descubrimiento de relaciones y vinculación semántica de su contenido mediante inteligencia artificial.
Análisis y monitoreo: análisis de uso del servicio, monitoreo de rendimiento y seguimiento de uso (incluido Google Analytics).
Comunicación: notificaciones de cuenta, alertas de seguridad, actualizaciones del servicio y respuestas a sus consultas.
Facturación y procesamiento de pagos: procesamiento de pagos y gestión de suscripciones a través de Stripe. No almacenamos los datos de su tarjeta de pago; Stripe gestiona directamente todos los datos de pago.
Cumplimiento legal: para cumplir con las leyes, reglamentos y procesos legales aplicables.

Las bases legales para el tratamiento conforme a la LGPD (art. 7) y al GDPR (art. 6) incluyen: ejecución de un contrato, intereses legítimos, consentimiento y cumplimiento de obligaciones legales.

4. Tratamiento por Proveedores de IA Terceros

El contenido de sus documentos se envía a proveedores externos de IA para su procesamiento. Esta es una parte central y esencial del funcionamiento de Mindex.

Los siguientes proveedores externos de IA pueden tratar su contenido:

OpenAI — generación de embeddings, enriquecimiento de documentos y análisis de contenido.
Anthropic — enriquecimiento de documentos, etiquetado automático y análisis de contenido.
Google AI — generación de embeddings y procesamiento de contenido.

Finalidad: estos proveedores se utilizan para generar embeddings, auto-etiquetado, auto-vinculación y demás funciones de enriquecimiento por IA, esenciales para el servicio Mindex.

Los datos se transmiten a estos proveedores mediante conexiones de API cifradas (TLS/HTTPS). Seleccionamos proveedores que se comprometen a no usar datos de clientes para entrenar modelos; sin embargo, no controlamos las políticas internas de retención de datos ni las prácticas internas de estos proveedores. No podemos garantizar sus prácticas internas más allá de sus políticas publicadas. Le recomendamos encarecidamente que revise la política de privacidad de cada proveedor de forma independiente.

Al utilizar Mindex, usted consiente expresamente este tratamiento. Si no acepta que su contenido sea tratado por proveedores externos de IA, no cargue contenido en la plataforma.

5. Transferencia Internacional de Datos

Sus datos pueden ser transferidos y tratados en países fuera de Brasil, incluidos Estados Unidos y países de la Unión Europea, donde operan nuestros proveedores de infraestructura y servicios de IA.

Estas transferencias internacionales cumplen con el Capítulo V de la LGPD (Transferencia Internacional de Datos Personales) y con el Capítulo V del GDPR (Transfers of Personal Data to Third Countries or International Organisations). Nos apoyamos en cláusulas contractuales tipo, decisiones de adecuación y otros mecanismos de transferencia legalmente reconocidos cuando corresponde.

Cuando es necesario, implementamos medidas suplementarias para asegurar un nivel adecuado de protección de sus datos personales durante las transferencias internacionales.

6. Retención y Eliminación de Datos

Sus datos personales se conservan mientras su cuenta permanezca activa o el tiempo necesario para prestarle el servicio.
Usted puede solicitar la eliminación de sus datos en cualquier momento contactando a [email protected].
Al recibir una solicitud válida de eliminación, removeremos su cuenta, documentos, embeddings, relaciones del grafo y todos los datos personales asociados de nuestros sistemas activos.
La eliminación es permanente e irreversible. Una vez eliminados, los datos no podrán recuperarse.
Las copias de respaldo pueden conservar copias de sus datos por hasta 30 días naturales tras la solicitud de eliminación, después de los cuales los datos se eliminarán definitivamente de los sistemas de respaldo.
Podemos conservar datos anonimizados y agregados, que no permitan identificarle, con fines analíticos y estadísticos.

7. Derechos del Titular

Conforme a la LGPD (art. 18) y al GDPR (arts. 15–22), usted dispone de los siguientes derechos respecto de sus datos personales:

Derecho de acceso: solicitar una copia de sus datos personales bajo nuestra custodia.
Derecho de rectificación: solicitar la corrección de datos personales inexactos o incompletos.
Derecho de supresión: solicitar la eliminación de sus datos personales, sujeto a obligaciones legales de retención.
Derecho a la portabilidad: solicitar sus datos en un formato estructurado, de uso común y legible por máquina.
Derecho a revocar el consentimiento: retirar su consentimiento al tratamiento de datos en cualquier momento, sin afectar la licitud del tratamiento basado en el consentimiento antes de su retirada.
Derecho de información: conocer las entidades públicas y privadas con las que se han compartido sus datos.
Derecho de oposición: oponerse al tratamiento de sus datos personales en determinadas circunstancias, incluido el tratamiento basado en intereses legítimos.
Derecho a la revisión de decisiones automatizadas: solicitar la revisión humana de decisiones adoptadas únicamente sobre la base de un tratamiento automatizado que le afecten.

Para ejercer cualquiera de estos derechos, contáctenos en [email protected]. Responderemos dentro de los 15 días hábiles que exige la LGPD o de los 30 días naturales que exige el GDPR, según corresponda a su situación.

8. Cookies y Seguimiento

Utilizamos los siguientes tipos de cookies y tecnologías de seguimiento:

Cookies esenciales: gestión de sesión (cookie httpOnly refresh_token) y autenticación. Estas cookies son estrictamente necesarias para el funcionamiento del servicio y no pueden desactivarse.
Análisis: Google Analytics con direcciones IP anonimizadas, para el análisis de patrones de uso y la mejora del servicio.

No utilizamos cookies publicitarias de terceros. No vendemos, alquilamos ni compartimos sus datos personales con anunciantes ni con corredores de datos.

9. Seguridad

Implementamos medidas técnicas y organizativas adecuadas para proteger sus datos personales frente a accesos no autorizados, alteración, divulgación o destrucción. Estas medidas incluyen:

Contraseñas almacenadas en hash con bcrypt, utilizando factores de costo estándar del sector.
Autenticación JWT (JSON Web Token) con tokens de corta duración (TTL de 15 minutos).
HTTPS (TLS) obligatorio en todas las conexiones.
Claves de API almacenadas como digests criptográficos SHA-256; las claves en bruto nunca se persisten.
Control de acceso basado en roles (RBAC) dentro de las organizaciones.
Limitación de tasa en los endpoints de autenticación y en las solicitudes a la API para prevenir ataques de fuerza bruta y abuso.
Revisiones y monitoreo periódicos de seguridad en las capas de infraestructura y aplicación.

Aunque nos esforzamos por utilizar medios comercialmente aceptables para proteger sus datos personales, ningún método de transmisión por Internet o de almacenamiento electrónico es 100% seguro, y no podemos garantizar una seguridad absoluta.

10. Privacidad de Menores

Mindex no está dirigido a personas menores de 18 años. No recopilamos conscientemente datos personales de menores. Si usted es menor de 18 años, no utilice el servicio ni proporcione datos personales.

Si cree que un menor nos ha proporcionado datos personales, contáctenos de inmediato en [email protected], y tomaremos medidas para eliminar tales datos a la brevedad.

11. Cambios en esta Política

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas, la tecnología, los requisitos legales u otros factores.

Los cambios sustanciales se comunicarán por correo electrónico a los usuarios registrados con al menos 15 días de antelación a su entrada en vigor. El uso continuado del servicio después de la fecha efectiva de cualquier cambio constituye su aceptación de la Política de Privacidad revisada.

La fecha de "Última actualización" en la parte superior de esta página refleja la revisión más reciente.

12. Contacto

Para consultas relacionadas con la privacidad, solicitudes del titular o reclamos sobre el tratamiento de sus datos personales, contáctenos:

Correo electrónico: [email protected]
Responsable del Tratamiento: Mindex, Brasil.

Si no queda satisfecho con nuestra respuesta, tiene derecho a presentar una reclamación ante la Autoridad Nacional de Protección de Datos brasileña (ANPD) o ante su autoridad de control local conforme al GDPR.